Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Offene Key-Value Stores

11. Februar 2015

Wie Heise berichtet wurden in den letzten Tagen von einer Gruppe Studenten zehntausende vollständig ungesicherte Instanzen der NoSQL-Datenbank MongoDB im Internet entdeckt. In den meisten Fällen war nicht nur lesender Zugriff sondern auch die Manipulation von Datensätzen möglich.

Die Ursachen für diese grosse Anzahl an verwundbaren Systemen lassen sich laut der Analyse der Studenten auf folgende Punkte zusammenfassen:

  • Die Standardeinstellungen von MongoDB sind darauf ausgelegt dass die Datenbank auf der selben Maschine liegt wie die Software, die darauf zugreift - Erreichbarkeit über das Netzwerk ist darin nicht vorgesehen.
  • Die Dokumentationen und Richtlinien für die Konfiguration von MongoDB-Servern die über das Netzwerk erreichbar sein sollen ist in Bezug auf notwendige Authentifizierungsmassnahmen nicht explizit genug.
Dies kann dazu führen dass ein unerfahrener Administrator bei der Einrichtung wichtige Sicherheitsmassnahmen nicht aktiviert und damit ein grosses Einfallstor für potentielle Angreifer offen lässt.

Leider betrifft diese Problematik nicht nur MongoDB sondern auch andere verbreitete Produkte wie memcached und redis (beide binden sich in der Standardkonfiguration an alle verfügbaren Interfaces.).

Das luxemburgische Computer Incident Response Center CIRCL hat eine Reihe von Empfehlungen für eine sichere Konfiguration dieser Services veröffentlicht. CERT.at hat die Informationen über betroffene Systeme (sowohl für MongoDB als auch für ähnliche Fälle) an die jeweiligen ISPs weitergeleitet.

Autor: Alexander Riepl

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücke in Mailserver-Software Exim - Patches verfügbar
6. September 2019 | Beschreibung Das ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
mehr ...
Remote Desktop Services. Mal wieder.
14. August 2019 | Ich ...
BlueKeep, mal wieder
25. Juli 2019 | Das "Schöne" ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2015/2/11 - 09:03:20
Haftungsausschluss / Datenschutzerklärung